Spiegazione del rischio legato all'utilizzo delle applicazioni home-banking che utilizzano il protocollo SSL v.2

16 febbraio 2017

Il servizio di supporto tecnico Doctor Web ha ricevuto richieste dagli utenti dei nostri prodotti che inoltre utilizzano le applicazioni home-banking che utilizzano il protocollo insicuro SSL v.2. A questo proposito rilasciamo la seguente spiegazione.

Al momento a causa di diverse vulnerabilità nel protocollo SSL v.2 è rischioso utilizzare questo protocollo come anche le applicazioni che lo utilizzano.

In particolare, se viene utilizzato questo protocollo sono possibili gli attacchi del tipo Man in the middle "uomo nel mezzo" (attacchi MITM) e gli attacchi che permettono di cambiare il corso del trasferimento dati. Anche l'algoritmo di hashing MD5 utilizzato nell'SSL v.2 è ora compromesso e non raccomandato per l'uso.

È nota da tempo l'insicurezza del protocollo SSL v.2, un fatto che nel 1996 servì come base per la sua sostituzione con la versione SSL v.3, ma anche in questa ultima in seguito venne scoperta una vulnerabilità CVE-2014-3566. Il protocollo SSL v.2 venne ufficialmente trasferito alla categoria di quelli obsoleti nel 2011 secondo le specifiche tecniche RFC 6176. Siccome sono presenti queste specifiche tecniche, l'antivirus Dr.Web, nel momento in cui viene stabilita una connessione sulla base del protocollo SSL v.2, informava gli utenti del rischio.

Come è apparso chiaro dalle richieste degli utenti di Dr.Web inviate al supporto tecnico, le applicazioni home-banking di alcune banche russe continuano ad utilizzare il protocollo insicuro SSL v.2. Addetti all'assistenza clienti di queste banche persino consigliavano ai nostri utenti che riscontravano problemi con l'utilizzo delle applicazioni bancarie a causa del funzionamento di Dr.Web di disinstallare Dr.Web, esponendo a grave rischio il denaro dei propri clienti.

Doctor Web consiglia agli utenti delle applicazioni insicure di aggiornarle. Se l'aggiornamento non è possibile, gli utenti possono autorizzare il utilizzo di tali applicazioni, attivando l'utilizzo del protocollo insicuro nelle impostazioni dei prodotti Dr.Web.

Se si sta considerando l'utilizzo di un sistema home-banking, chiedere alla banca quanto è sicuro il protocollo utilizzato nell'applicazione e, se viene utilizzato il protocollo SSL v.2 o SSL v.3, evitare di utilizzare l'applicazione.

I protocolli consigliati sono attualmente il TLS v.1 e superiori.